Passwort in Anwendung verschlüsseln
 

Ich habe eine Anwendung geschrieben, die mittels Indy- FTP-Komponente Dateien auf einem Server ablegt. Allerdings kann man dann das Passwort, was zum Serverzugriff benötigt wird ganz einfach wieder sichtbar machen. (Es reicht schon die exe-Datei mit Notepad zu öffnen und nach dem String zu suchen) Wie kann ich das Passwort in der Exe verschlüsseln?

Re: Passwort in Anwendung verschlüsseln
 

Indem du ein Verschlüsselungsverfahren implementierst (Dec) und nur das verschlüsselte Passwort in der Exe ablegst und zur Laufzeit entschlüsselst.

Und was hast du davon? Richtig, garnix, weil 1. das Passwort dann im Klartext über das FTP-Protokoll übertragen wird und ganz einfach gesnifft werden kann (noch einfacher als das Passwort in der Exe zu finden) und 2. du das PAsswort zum verschlüsseln des Passwortes wieder in der Exe ablegen müsstest -> vergiss es ;)

Re: Passwort in Anwendung verschlüsseln
 

Gibt es eine alternative Lösung?

Re: Passwort in Anwendung verschlüsseln
 

Schau doch erst mal nach, was sonst schon diskutiert wurde, z.B. aktuell [dp]Passwort verschlüsselt ablegen[/dp]. Jürgen

Re: Passwort in Anwendung verschlüsseln
 

Einzige, sichere Alternative (da bei FTP immer unverschlüsselt übertragen wird):

Kein direkter FTP-Zugriff !

Du könntest höchstens z.B. über ein PHP-Script gehen und dort noch ssl oder dergleichen mit verwenden.

Re: Passwort in Anwendung verschlüsseln
 

Gibt es für sowas Fertig-PHP- Scripte? Sonst müsste ich erst noch PHP lernen.

Re: Passwort in Anwendung verschlüsseln
 

Ohne PHP-Kenntnisse wirst du da bestimmt nichts finden, was speziell auf deine Bedürfnisse zugeschnitten ist.

Re: Passwort in Anwendung verschlüsseln
 

Das Script soll einfach die Datei auf dem Server ablegen, wenn das von der anwendung gesendete Passwort stimmt.

Re: Passwort in Anwendung verschlüsseln
 

Gibt es denn keine Möglichkeit, ein Passwort verschlüsselt zu übertragen?

Re: Passwort in Anwendung verschlüsseln
 

Doch nimm SFTP dann is alles verschlüsselt...

Re: Passwort in Anwendung verschlüsseln
 

1.) SFTP -> secure FTP
2.) eigenen Proxy vor dem FTP Server der den Login-Identifier zum Passwort überprüft, wenn schon dann niemals ein verschl. Passwort senden sondern nur einen per Hash umgewandelteten Verifier, oder noch besser mit dem SRP-6a Protokoll arbeiten (hier in der CodelIb gibts ne DLL dazu)
3.) eigenen FTP Server programmieren

Gruß Hagen

Re: Passwort in Anwendung verschlüsseln
 

Reicht es, wenn ich meine IdFTP Komponente mit dem IdSSLIOHandlerSocket verbinde, um OpenSSL zu nutzen? Kann man das überhaupt mit FTP nutzen? Wenn das nicht geht, wie kann ich eine S-FTP- Verbindung mit Indy erstellen?

Re: Passwort in Anwendung verschlüsseln
 

Hm, wenn auf Server Seite ebenfalls ein SSL Proxy vor dem FTP Port sitz dürfte das gehen. Es läuft dann auf eine VPN hinaus.

Gruß Hagen

Re: Passwort in Anwendung verschlüsseln
 

Wie funktionirt S-FTP? Bei Indy ist keine Komponente mit dem Namen dabei. (SSL- Anmeldung wird glaube ich nicht unterstützt)

Re: Passwort in Anwendung verschlüsseln
 

Ich versuche jetzt, das ganze über ein PHP- Script zu machen. Hier mal ein erster Ansatz:
aufgerufen durch http://webserver.de/upload.php?datei=C:\XY.txt Der Code oben funktioniert leider nicht, und da ich mich mit PHP garnicht auskenne finde ich den Fehler nicht. Weis jemand, wie das richtig geht?

Re: Passwort in Anwendung verschlüsseln
 

Kann hier keiner ein bisschen PHP?

Re: Passwort in Anwendung verschlüsseln
 

Auf die Sachen aus der Url kannst du mit $_GET['datei'] zugreifen.

Aber die ganze Sache ist sehr gefährlich, wenn du kein php kannst und das script nicht richtig absichern kannst. (Es ist alles incl. Serverübernahme möglich)

Re: Passwort in Anwendung verschlüsseln
 

Immernoch besser, als wenn jemand das Passwort kennt.

Bei diesem Code:
kommt nur:
Parse error: syntax error, unexpected T_STRING in serverpfad/xy/upload.php on line 5

Re: Passwort in Anwendung verschlüsseln
 

Muss es denn unbedingt ein Dateiupload sein? Meiner Meinung nach wäre es (höchstwahrscheinlich) wesentlich sinnvoller, die Datei auf dem Server zu erstellen und dem PHP script nur das schreiben in diese eine Datei zu erlauben (wenn das zu schreibende noch auf quelltexte gefiltert wird und die Datei eine Endung wie *.txt erhält bist du dann auf der sicheren seite und sowas wie eine Serverübernahme ist NICHT möglich).

Das zu schreibende übergibst du dann dem Script als Parameter und fertig ;)

Wenn du allerdings dem Script wie du es scheinbar vorhast jeden Dateiupload erlauben willst wirst du dir ziemlich bald nen neuen Server zulegen können ;)

Re: Passwort in Anwendung verschlüsseln
 

Toll! Leider muss es ein Dateiupload sein. Gibt es keine sichere Möglichkeit, Dateien auf dem Webserver zu hinterlegen?

Re: Passwort in Anwendung verschlüsseln
 

Ich wage zu behaupten: Nein!

Re: Passwort in Anwendung verschlüsseln
 

Und einen nahezu sicheren (80%Sichereit)?

Re: Passwort in Anwendung verschlüsseln
 

Ich frage mich wirklich für welche anwendung das nötig sein soll aber naja...

Wenn du beim upload jeder Datei eine harmlose Endung (*.txt z.B.) und den Upload auf ein einziges Verzeichnis beschränkst bist du auf einer relativ sicheren Seite - allerdings kann dir dann immernoch jeder den Server mit tausenden Dateien zumüllen :roll:

Re: Passwort in Anwendung verschlüsseln
 

Egal!

Wieso funktioniert denn das PHP-Script nicht?

Re: Passwort in Anwendung verschlüsseln
 

Vergiss das Script... :roll:
(http://www.php-faq.de/q/q-formular-upload-php4.html)

Ansonsten gibts im Internet wirklich genug Beispiele...
http://www.tu-chemnitz.de/urz/www/php/secupload.html

Ob es allerdings eine gute Idee ist wenn du das machst und gleichzeitig keine Ahnung von PHP hast wage ich doch stark zu bezweifeln :wall:

Re: Passwort in Anwendung verschlüsseln
 

Was soll ich denn dann machen? Ich benutze einen Webserver von Ohost, der anscheinend keine sichere Anmeldung erlaubt, das mit dem PHP-Script klappt nicht und wenn ich mit FTP Uploade kommt jeder ans Passwort ran. Gibt's da überhaut eine (sichere) Lösung??

Re: Passwort in Anwendung verschlüsseln
 

Sicherer wäre bspw. einem PHP-Script die Daten zu übergaben, die vom Script auf eine korrekte Struktur testen lassen und dass von Script selbst in eine Datei auf dem Server schreiben zu lassen.

Re: Passwort in Anwendung verschlüsseln
 

:wall: :wall: Kann kein PHP!

Re: Passwort in Anwendung verschlüsseln
 

Nein.

Hab ich doch schon vorgeschlagen, wäre der einzig sinnvolle Ansatz :roll:

Re: Passwort in Anwendung verschlüsseln
 

Dann muss ich beim FTP-Upload bleiben, und warten, bis jemand das Passwort rauskriegt. :( Vielleicht kriege ich auch irgendwie ein Script hin, dass das erledigt. Danke für die ganze Hilfe!

Re: Passwort in Anwendung verschlüsseln
 

Vielleicht würde es ja schon helfen wenn du uns verraten würdest was du eigentlich machen willst. Das es ein Dateiupload auf Teufel-komm-raus sein muss nehm ich dir nämlich nicht ab, es sei denn du willst einen Freehosting-Service oder sowas machen ;)

Re: Passwort in Anwendung verschlüsseln
 

Das hat keiner behauptet.
Doch ein komplettes Script möchte ich dir nicht schreiben.
Wie du es an besten machen könntest, hab ich schon gesagt.

Damit du mal ein paar PHP-Funktionen hast, bei den du anfangen kannst:
- file_put_contents
- fopen()
- fwrite()

Wenn du dann etwas hast, und noch Probleme hast, helfe ich dir dann auch gerne weiter.

EDIT:
exakt